Bulletin d'alerte Debian

DSA-3161-1 dbus -- Mise à jour de sécurité

Date du rapport :
11 février 2015
Paquets concernés :
dbus
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 777545.
Dans le dictionnaire CVE du Mitre : CVE-2015-0245.
Plus de précisions :

Simon McVittie a découvert un défaut de déni de service local dans dbus, un système de messages asynchrones inter-processus. Sur les systèmes bénéficiant de l'activation de services dans le style de systemd, le démon dbus n'empêche pas les messages ActivationFailure contrefaits de processus sans les droits d'administrateur. Un utilisateur local malveillant pourrait se servir de ce défaut pour inciter le démon dbus à penser que systemd a échoué à activer un service système, avec comme conséquence une réponse d'erreur au demandeur.

Pour la distribution stable (Wheezy), ce problème a été corrigé dans la version 1.6.8-1+deb7u6.

Pour la distribution unstable (Sid), ce problème a été corrigé dans la version 1.8.16-1.

Nous vous recommandons de mettre à jour vos paquets dbus.